¿Cómo funcionó exactamente la reciente vulnerabilidad TweetDeck? Dice aquí que tuvo algo que ver con el corazón del HTML, pero yo no. Entender completamente lo que significa la explicación. Desde el enlace:
"Estaba tuiteando sobre el símbolo del corazón HTML (♥), porque no lo hice Sabemos que esto es posible ", dijo a The Register en respuesta a preguntas por correo electrónico.
TweetDeck no debe mostrar esto como una imagen. Porque es Texto simple, que debe ser escapado a '♥'. Pero en mi tweet utilicé el carácter Unicode del corazón como referencia para mis seguidores.
Había dos corazones. Uno era negro (en la posición donde estaba el ♥ se suponía que era) y uno era rojo (este era el Unicode-char y se reemplazado por TweetDeck).
Entonces, comencé a jugar y descubrí que el Corazón Unicode (que es reemplazado con una imagen por TweetDeck) de alguna manera previene la tweet de ser HTML-escapado. Así que usé una etiqueta fuerte de HTML para verificar esto ... funcionó.
Así que escribí un pequeño script que muestra una ventana emergente y luego se bloquea. sí mismo. Funcionó. "
¿Cuál fue exactamente el vector de ataque aquí? ¿Y cómo "de alguna manera impidió que el tweet se escapara de HTML"?